IT-SICHERHEITSSTANDARD B3S IM KRANKENHAUS
Für den Datenschutz im Krankenhaus und anderen Gesundheitseinrichtungen gibt es spezifische Vorschriften des BSI. Krankenhäuser, die zu den Kritischen Infrastrukturen (KRITIS) zählen, müssen ihre IT-Security-Maßnahmen seit 2016 an dem branchenspezifischen Sicherheitsstandard B3S ausrichten, der von der Deutschen Krankenhausgesellschaft (DKG) entwickelt wurde.
Was besagt der Sicherheitsstandard B3S?
Der Sicherheitsstandard B3S gilt für Kliniken ab einer vollstationären Fallzahl von 30.000 pro Jahr. Im Zentrum der notwendigen Maßnahmen steht das Informationsrisikomanagement. Es hilft Kliniken dabei, Risiken für den Betriebsablauf zu erkennen und zu überwachen.
Im Abschnitt „Identitäts- und Rechtemanagement“ definiert das BSI fixe Vorgaben für die Behandlung von Benutzerkonten und Zugriffsrechten. Welche das sind, können Sie im Detail hier nachlesen.
Ein wichtiger Teil dieses Risikomanagements ist die Absicherung gegen externen und internen Datendiebstahl. Dieses Risiko können Gesundheitseinrichtungen durch die Implementierung einer Identity- und Access Management-Software wie tenfold maßgeblich reduzieren.
Was leistet Berechtigungsmanagement im Krankenhaus?
Das oberste Ziel in Sachen IT-Security im Krankenhaus ist es, die Gesundheitsdaten sowie andere sensible Informationen vor Zugriffen unbefugter Personen zu schützen. tenfold sorgt dafür, dass nach der Implementierung nur noch jene IT-User den Zugriff zu sensiblen Daten erhalten, die diesen auch tatsächlich für die Ausübung ihrer Arbeit benötigen (Least Privilege Prinzip).
Was passieren kann, wenn diese Zugriffskontrolle nicht gegeben ist, hat sich erst 2018 in einem Den Haager Krankenhaus gezeigt, das wegen Verstoßes gegen die DSGVO zu einer Strafe in Höhe von € 460.000 verurteilt wurde.
Krankenhaussystem vor Datendiebstahl schützen
Für die Steuerung und Dokumentation der stationären und medizinischen Versorgung ist das Krankenhausinformationssystem (KIS) zuständig. Die hier gespeicherten Daten müssen gemäß dem Sicherheitsstandard einerseits jederzeit verfügbar sein und andererseits zuverlässig vor unbefugten Zugriffen geschützt werden.
Dies gelingt beispielsweise über ein globales Rollenmanagement, das nicht nur das Ausscheiden von Mitarbeitern abbildet, sondern auch Abteilungs- oder Positionswechsel. Das Rollenmanagement sorgt automatisch dafür, dass nicht mehr benötigte Berechtigungen entzogen, und für die neue Position erforderliche Zugriffsrechte zugeordnet werden.
Damit Krankenhäuser sämtliche sensiblen Daten und Zugriffsrechte zentral verwalten können, bietet tenfold eine Schnittstelle für das ganzheitliche Krankenhaus-Informationssystem ORBIS an.
Förderung für IAM Software
IT-Security in KRITIS-Krankenhäusern ist ein so wichtiges Thema, dass die Bunderegierung die Verbesserung der IT-Sicherheit 2019 sogar als neuen Fördertatbestand in den Krankenhausstrukturfonds aufgenommen hat. Für die aktuelle Förderperiode 2019-2024 stehen Kliniken 750 Millionen Euro für entsprechende Maßnahmen zur Verfügung.